Liberar msn apenas para usuarios com previlégios

[vermei]

olá minha duvida é a seguinte, tenho um squid com controle de acesso, alguns usuarios tem restrição e outros não, gostaria de saber se tem como liberar o msn apenas para usuarios previlegiados.


Segue meu squid.conf

Código Selecionar Expandir

http_port 3128
visible_hostname squid

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
error_directory  /usr/share/squid/errors/Portuguese
dns_nameservers 8.8.8.8.8

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/usuarios
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 minutes
auth_param basic casesensitive off

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl password proxy_auth REQUIRED

acl usuario_liberado    proxy_auth   "/etc/squid/usuario-liberado"


acl block             url_regex -i "/etc/squid/block"



acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 10.1.1.0/24
http_access allow  usuario_liberado
http_access allow localhost
http_access deny  block
http_access allow password
http_access deny all

[zekkerj]

Vc sabe liberar/bloquear MSN pra todo mundo?

[vermei]

achei uma configuração q  bloqueia todos......

[zekkerj]

Mostra essa configuração, pra gente encaixá-la no seu squid.conf.

[vermei]

Desculpa pela demora.....

Aqui esta minha configuração...

Squid.conf

Código Selecionar Expandir


http_port 3128
visible_hostname Squid

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
error_directory  /usr/share/squid/errors/Portuguese
dns_nameservers 8.8.8.8.8

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/usuarios
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 5 minutes
auth_param basic casesensitive off

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl password proxy_auth REQUIRED



acl usuario_liberado proxy_auth "/etc/squid/usuario_liberado"
acl block url_regex -i "/etc/squid/block"
acl msn url_regex -i /gateway/gateway.dll

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow  usuario_liberado

acl redelocal src 10.1.1.0/24
http_access allow localhost
http_access deny  block
http_access deny msn
http_access allow password
http_access deny all




Firewall

Código Selecionar Expandir


#! /bin/bash

#interface internet:
ifinternet="eth0"

# Interface da rede local
iflocal="eth1"

iniciar(){
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe ip_nat_snmp_basic
modprobe iptable_filter
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
}

# FORCAR O PROXY
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# LIBERANDO PORTAS
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT

iptables -I FORWARD -s 10.1.1.0/8 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 10.1.1.0/8 -d loginnet.passport.com -j REJECT


# LIBERA REDE  LOCAL
iptables -A INPUT -p tcp --syn -s 10.1.1.0/8 -j ACCEPT


# FECHA O RESTO
iptables -A INPUT -p tcp --syn -j DROP

# IMPEDIR RESPOSTA DO PING
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

parar(){
iptables -F
iptables -F -t nat
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâtros start ou stop"
esac



Dessa maneira está bloqueando o msn para rede inteira....

[zekkerj]

Você não pode usar autenticação com proxy transparente. É uma coisa ou outra.

[vermei]

Proxy transparent ?

To tentando configurar para autenticar........

[zekkerj]

# FORCAR O PROXY
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Sim, proxy transparente.

[vermei]

ops..... verdade, mas teria como libera msn apenas para usuario com privlegios com autenticação...

Grato

[zekkerj]

A configuração que vc colocou por último me parece fazer exatamente da forma como vc quer. O usuário vai se autenticar, e se for do grupo de nomes de usuário cadastrado em "/etc/squid/usuarios", pode usar o MSN.

Provavelmente o que está acontecendo é que vc não está configurando o proxy nas estações, e por isso o navegador não pede a autenticação. Observe que o MSN pode exigir configuração especial pra fazer autenticação.